黑客利用虚假验证码传播Lumma窃密木马

网络安全公司DNSFilter研究发现，不法分子正利用虚假验证码分发无文件的Lumma窃密木马。该恶意程序最初在希腊银行网站出现，诱导Windows用户将代码复制到运行对话框后按回车键执行。

据DNSFilter披露，其客户在三天内遭遇23次此类钓鱼攻击，17%的接触者完全执行了屏幕指令，导致恶意软件植入尝试。该公司在社交媒体警示：”点击’我不是机器人’可能成为你今天最危险的操作——攻击者通过伪造验证码投放Lumma等无文件木马，仅需一次点击即可入侵系统。”

Lumma窃密木马运作机制

DNSFilter全球合作伙伴技术专家Mikey Pruitt指出，这款恶意软件会全面扫描受感染设备中的敏感数据：”它能瞬间窃取可变现信息，包括浏览器保存的密码、Cookie、双重验证令牌、加密货币钱包数据、远程访问凭证乃至密码管理器库。”

Pruitt强调，窃取数据多用于牟利犯罪，如身份盗用、金融账户入侵、欺诈交易，以及劫持加密货币钱包。该木马传播范围极广，甚至可能潜伏在正规网站。”虽然无法量化具体损失，但其存在于非恶意站点的特性使其极具危险性，用户必须保持警惕。”

恶意软件即服务模式

Lumma窃密木马是恶意软件即服务(MaaS)的典型案例。据ESET分析师Jakub Tomanek透露，运营者持续升级功能、规避检测，并通过注册域名托管恶意程序，”其核心目标是维持服务运营，通过向分销商收取月费构建可持续的网络犯罪业务”。

今年5月，美国司法部查封了5个运营该木马的域名，微软则私下关停了2300个相关域名。但趋势科技7月分析显示，6月至7月间受攻击账户数量已恢复至常规水平。

全球威胁与变现链条

Darktrace安全战略副总裁Nathaniel Jones透露，该木马在暗网论坛月租仅250美元，却专门针对加密货币钱包、浏览器凭证和双重验证系统。2023年预估造成3650万美元损失，两个月内感染40万台Windows设备。

“更严峻的是其多层变现策略，”Jones补充道，”不仅窃取数据，还会系统收集浏览记录、系统信息和远程控制配置文件，全部回传至俄罗斯控制的指挥中心。”失窃数据通常直接流入专门倒卖凭证的”traffer团队”，形成持续性危害链。

虽然攻击源头可能与俄罗斯有关，但DNSFilter指出实际操作者可能分布多国。Pruitt表示：”这种犯罪活动常涉及跨国团伙，尤其在使用国际托管服务和恶意软件分发平台时。”

每日简报订阅

每日推送头条新闻、原创专题、播客及视频等内容

立即订阅